<div dir="ltr"><div class="gmail_extra"><span style="font-size:12.8px">Hi,</span><div style="font-size:12.8px"> I am Trying to some some VPN connectivity tests between strongswan 5.3.5 and Cisco VPN 3000 concentrator. The same strongswan config works with a Cisco ASA but not with the Cisco VPN 3000. I've attached the strongswan side of the logs and config is below.. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">It seems that phase 1 IKE is working but not phase 2 ESP. I've tried different settings for ike= to no avail. Config and brief log below and extended log attached. </div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>config setup</div><div>   uniqueids = no</div><div>   charondebug = ike 2</div><div><br></div><div>conn %default</div><div>   left=%defaultroute</div><div>   leftid=50.15.112.15</div><div>   keyingtries=%forever</div><div>   keyexchange=ikev1</div><div>   type=tunnel</div><div>   compress=no</div><div>   authby=secret</div><div>   auto=start</div><div>   dpdaction=none</div><div>   ikelifetime=28800s</div><div>   keylife=28800s</div><div><br></div><div>conn vpp</div><div>   leftsubnet=<a href="http://50.15.201.20/32" target="_blank">50.15.201.20/32</a></div><div>   right=60.24.21.12</div><div>   rightid=60.24.21.12</div><div>   rightsubnet=<a href="http://172.5.100.40/32" target="_blank">172.5.100.40/32</a></div><div>   ike=aes256-sha1-modp1024</div><div>   esp=aes256-sha1-modp1024</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">=====================</div><div><div><span style="font-size:12.8px"># ipsec up vpp</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">received packet: from 60.24.21.12[500] to 10.20.1.18[500] (128 bytes)</span></div><div><span style="font-size:12.8px">parsed ID_PROT response 0 [ SA V V ]</span></div><div><span style="font-size:12.8px">received draft-ietf-ipsec-nat-t-ike-02\n vendor ID</span></div><div><span style="font-size:12.8px">received FRAGMENTATION vendor ID</span></div><div><span style="font-size:12.8px">generating ID_PROT request 0 [ KE No NAT-D NAT-D ]</span></div><div><span style="font-size:12.8px">sending packet: from 10.20.1.18[500] to 60.24.21.12[500] (244 bytes)</span></div><div><span style="font-size:12.8px">received packet: from 60.24.21.12[500] to 10.20.1.18[500] (304 bytes)</span></div><div><span style="font-size:12.8px">parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]</span></div><div><span style="font-size:12.8px">received Cisco Unity vendor ID</span></div><div><span style="font-size:12.8px">received XAuth vendor ID</span></div><div><span style="font-size:12.8px">received unknown vendor ID: a0:14:d0:24:f5:b5:55:52:db:47:15:21:de:70:63:28</span></div><div><span style="font-size:12.8px">received unknown vendor ID: 1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:04:01</span></div><div><span style="font-size:12.8px">local host is behind NAT, sending keep alives</span></div><div><span style="font-size:12.8px">generating ID_PROT request 0 [ ID HASH ]</span></div><div><span style="font-size:12.8px">sending packet: from 10.20.1.18[4500] to 60.24.21.12[4500] (76 bytes)</span></div><div><span style="font-size:12.8px">received packet: from 60.24.21.12[4500] to 10.20.1.18[4500] (92 bytes)</span></div><div><span style="font-size:12.8px">parsed ID_PROT response 0 [ ID HASH V ]</span></div><div><span style="font-size:12.8px">received DPD vendor ID</span></div><div><span style="font-size:12.8px">IKE_SA vpp[10275] established between 10.20.1.18[50.15.112.15]...60.24.21.12[60.24.21.12]</span></div><div><span style="font-size:12.8px">scheduling reauthentication in 27966s</span></div><div><span style="font-size:12.8px">maximum IKE_SA lifetime 28506s</span></div><div><span style="font-size:12.8px">generating QUICK_MODE request 960214791 [ HASH SA No KE ID ID ]</span></div><div><span style="font-size:12.8px">sending packet: from 10.20.1.18[4500] to 60.24.21.12[4500] (316 bytes)</span></div><div><span style="font-size:12.8px">received packet: from 60.24.21.12[4500] to 10.20.1.18[4500] (92 bytes)</span></div><div><span style="font-size:12.8px">parsed INFORMATIONAL_V1 request 3007622594 [ HASH D ]</span></div><div><span style="font-size:12.8px">received DELETE for IKE_SA vpp[10275]</span></div><div><span style="font-size:12.8px">deleting IKE_SA vpp[10275] between 10.20.1.18[50.15.112.15]...60.24.21.12[60.24.21.12]</span></div><div><span style="font-size:12.8px">establishing connection 'vpp' failed</span></div><div style="font-size:12.8px"><br></div></div><div style="font-size:12.8px">=============================</div><div style="font-size:12.8px">thanks,</div><div style="font-size:12.8px">mahesh</div></div></div>